polÍtica interna de proteÇÃo de dados · página 6 de 51 (f) “pessoa sujeita”, pessoa...

POLÍTICA INTERNA DE PROTEÇÃO DE DADOS

***

Vidros Cerejo, Lda, Sociedade por quotas, NIPC 503 906 573, com sede

na Estrada Nacional 356, n.º 38, em Jardoeira, 2440 – 386 Batalha

25/05/2018

de 51

Conteúdo

I. GERAL .............................................................................................................................................. 3

II. TRATAMENTO DE DADOS PESSOAIS EM GERAL .............................................................................. 9

1. RESPONSÁVEL PELO TRATAMENTO. .................................................................................................. 9

2. OBJETO ............................................................................................................................................ 9

3. OBRIGAÇÕES RELATIVAS AO TRATAMENTO DOS DADOS ................................................................... 10

III. TRATAMENTO DE DADOS PESSOAIS EM PARTICULAR .................................................................... 18

1. CANDIDATOS ................................................................................................................................... 18

2. COLABORADORES ............................................................................................................................ 21

3. CLIENTES ......................................................................................................................................... 27

4. FORNECEDORES ............................................................................................................................... 32

5. UTILIZAÇÃO DE MEIOS DE INFORMAÇÃO E COMUNICAÇÃO .............................................................. 36

6. MONITORIZAÇÃO ............................................................................................................................ 39

7. VIDEOVIGILÂNCIA ............................................................................................................................ 42

8. SEGURANÇA E SAÚDE NO TRABALHO. .............................................................................................. 44

IV. OUTRAS OBRIGAÇÕES .................................................................................................................. 47

1. VIOLAÇÕES DE DADOS PESSOAIS ...................................................................................................... 47

2. COOPERAÇÃO COM AUTORIDADES DE CONTROLO ........................................................................... 49

3. CÓDIGOS DE CONDUTA .................................................................................................................... 49

4. CERTIFICAÇÕES ................................................................................................................................ 50

V. DISPOSIÇÕES FINAIS ........................................................................................................................ 50

de 51

I. GERAL

1. Introdução.

1.1. A Vidros Cerejo, Lda, (adiante, “SOCIEDADE”), Sociedade por quotas, NUIPC 503 906 573, com

sede na Estrada Nacional 356, n.º 38, em Jardoeira, 2440 – 386 Batalha no âmbito da sua

atividade tem acesso a um conjunto de informação a qual, pela sua natureza, é classificada

como dados pessoais.

1.2. A SOCIEDADE posiciona-se no mercado como uma empresa que encara seriamente as questões

associadas à Privacidade e Proteção de Dados, acreditando que proteger os dados pessoais de cada

uma das pessoas com que se relaciona constitui uma das bases da confiança que existe nas relações

que se estabelecem no exercício da sua atividade.

1.3. Esta Política Interna de Proteção de Dados (adiante, “Politica”) contempla os princípios, obrigações

e procedimentos que norteiam o tratamento de dados pessoais da SOCIEDADE e estabelece regras

específicas para as operações de tratamento de dados pessoais a seu cargo, sendo complementada

com a Política de Segurança de Informação já existente na empresa.

1.4. A SOCIEDADE conforma a sua atividade com a legislação, regras e boas práticas de privacidade e

proteção dos dados pessoais, porém, atendendo a que a SOCIEDADE procede ao tratamento de

dados pessoais de diversos tipos de titulares de dados, a estrutura da presente Política parte de um

elenco de tratamentos de dados pessoais em geral (II) regulando os princípios e obrigações comuns

a todos os tipos de tratamento, seguindo para os tratamentos de dados pessoais em particular (III)

onde se focam as especificidades e particularidades apresentadas pelos tratamentos de dados

elencados.

1.5. Por fim, a presente Política não é um documento fechado, devendo e sendo adaptada à evolução

normativa e das boas práticas, nomeadamente, tendo em consideração as orientações das

autoridades de controlo, sendo igualmente o documento orientador para outros documentos

internos da SOCIEDADE (tais como regulamentos) que tenham relevo no âmbito da privacidade e

proteção de dados pessoais.

2. Enquadramento legislativo.

2.1. A presente Política foi elaborada tendo em consideração legislação aplicável à de proteção de

dados e outros dispositivos normativos com relevância e impacto na proteção de dados.

de 51

2.2. A presente Política foi elaborada tendo em consideração igualmente as regras e boas práticas de

privacidade e proteção dos dados pessoais.

2.3. Foram ainda tidas em consideração as deliberações da autoridade de controlo (CNPD), as

Orientações do Grupo de Trabalho do Artigo 29 Para a Proteção dos Dados e do Comité Europeu

para a Proteção de Dados.

2.4. Servem de referência os seguintes documentos:

2.4.1. Nacional:

(a) Lei 46/2012 de 29 de Agosto, que regula a proteção de dados pessoais no sector das Comunicações

Eletrónicas;

(b) Lei n.º 7/2009, de 12 de fevereiro, Código do Trabalho;

(c) Outro normativo.

2.4.2. Comunitária:

(a) Regulamento (UE) 2016/679, relativo à proteção das pessoas singulares no que diz respeito ao

tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE

(Regulamento Geral sobre a Proteção de Dados - RGPD).

2.4.3. Deliberações das Autoridades de Controlo.

(a) Orientações do Grupo de Trabalho do Artigo 29 e do Comité Europeu;

(b) As deliberações da CNPD que afetem a atividade da SOCIEDADE serão refletidas na presente

Política em tudo o que não seja oposto ao RGPD.

3. Aplicação da Política. Incumprimento.

3.1. Todas as Pessoas Sujeitas à presente Politica têm a obrigação de conhecer o conteúdo da presente

Política e das suas atualizações posteriores, estando as Pessoas Sujeitas à presente Politica

obrigadas a cumprir a presente Política e colaborar na sua aplicação.

3.2. A presente Politica deve ser interpretada em conjunto com as políticas internas destinadas à

Segurança da Informação, bem como, com a legislação aplicável.

de 51

3.3. Sem prejuízo, as Pessoas Sujeitas à presente Politica deverão ainda ter conhecimento de outras

normas internas da SOCIEDADE que tenham uma relação direta com a presente Política.

3.4. Em caso de desconformidade entre a Politica e a legislação, a legislação prevalece sobre a Politica.

3.5. O não cumprimento das presentes regras pode conduzir à instauração de ação disciplinar, sendo

que o desconhecimento da presente Política não justifica qualquer tipo de incumprimento.

4. Definições.

4.1. Na presente Política, salvo quando do contexto ou da legislação claramente decorrer sentido

diferente, os presentes termos e expressões terão o seguinte significado:

(a) “Dados pessoais”, toda e qualquer informação relacionada com uma pessoa (o titular dos dados),

que a identifique ou torne identificável, direta ou indiretamente, em particular, com referência a

identificadores como nome, um número de identificação, dados de localização, identificadores

online como logins e outras credenciais de acesso, ou, outros fatores, nomeadamente, físicos,

psicológicos, genéticos, económicos, culturais ou sociais;

(b) “Autoridade de controlo (interessada)”, a autoridade pública independente afetada pelo

tratamento de dados pessoais com a responsabilidade de fiscalizar da aplicação e cumprimento da

legislação de proteção de dados pessoais. Em Portugal, à data de publicação da presente Política, a

Comissão Nacional de Proteção de Dados (CNPD);

(c) “Dados sensíveis (categorias especiais de dados pessoais)”, dados pessoais que revelam a origem

racial ou étnica, as opiniões Políticas, as convicções religiosas ou filosóficas, ou a filiação sindical,

bem como o tratamento de dados genéticos, dados biométricos para identificar uma pessoa de

forma inequívoca, dados relativos à saúde ou dados relativos à vida sexual ou orientação sexual de

uma pessoa;

(d) “Definição de perfis”, qualquer forma de tratamento automatizado de dados pessoais que consista

em utilizar esses dados pessoais para avaliar certos aspetos pessoais de uma pessoa singular,

nomeadamente para analisar ou prever aspetos relacionados com o seu desempenho profissional,

a sua situação económica, saúde, preferências pessoais, interesses, fiabilidade, comportamento,

localização ou deslocações;

(e) “Grupo empresarial”, um grupo composto pela empresa que exerce o controlo e pelas empresas

controladas, nomeadamente, o Grupo Vidros Cerejo, Lda;

de 51

(f) “Pessoa Sujeita”, pessoa singular que se encontra vinculada à SOCIEDADE ao abrigo de algum

contrato, nomeadamente, colaboradores e prestadores de serviços;

(g) “Política de Proteção de Dados”, conjunto de ações e medidas fixadas num documento pela

SOCIEDADE, cujo objetivo é nortear as formas de tratamento de dados pessoais que leva a cabo, de

forma a proteger os titulares de dados pessoais quando procede ao seu tratamento.

(h) “Responsável pelo Tratamento”, a pessoa singular ou coletiva, autoridade pública, serviço ou

qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as

finalidades e os meios de tratamento dos dados pessoais;

(i) “Subcontratante”, uma pessoa singular ou coletiva, autoridade pública ou outro organismo que

trate os dados pessoais por conta do responsável pelo tratamento, sendo o respetivo tratamento

em subcontratação regulado por contrato ou ato normativo ao abrigo da lei que vincule o

subcontratante ao responsável pelo tratamento;

(j) “Terceiro”, a pessoa singular ou coletiva, a autoridade pública, o serviço ou organismo que não seja

o titular dos dados, o responsável pelo tratamento, o subcontratante e as pessoas que, sob a

autoridade direta do responsável pelo tratamento ou do subcontratante, estão autorizadas a tratar

os dados pessoais;

(k) “Titular de Dados”, uma pessoa singular cujos dados pessoais são objeto de tratamento pela

SOCIEDADE, nomeadamente, os colaboradores (atuais, os futuros e ex-colaboradores), clientes,

fornecedores, parceiros;

(l) “Tratamento de dados”, toda e qualquer a operação ou um conjunto de operações efetuadas

sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não

automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a

adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão,

difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o

apagamento ou a destruição.

(m) “Violação de dados pessoais”, uma violação da segurança que provoque, de modo acidental ou

ilícito, a destruição, a perda, a alteração, a divulgação ou o acesso, não autorizados, a dados

pessoais transmitidos, conservados ou sujeitos a qualquer outro tipo de tratamento.

4.2. Para efeitos de interpretação da presente Política, as Pessoas Sujeitas observarão o seguinte:

de 51

(a) As expressões acima definidas no singular poderão ser utilizadas no plural, e vice-versa, com a

correspondente alteração do respetivo significado;

(b) Os títulos são incluídos por razões de mera conveniência, não constituindo suporte da

interpretação ou integração.

5. Princípios gerais do tratamento dos dados.

5.1. Os seguintes princípios da proteção de dados, em conformidade com a legislação, aplicam-se a

qualquer informação relativa a uma pessoa singular identificada ou identificável e a qualquer

operação de tratamento de dados a realizar pela SOCIEDADE na sua qualidade de Responsável pelo

Tratamento:

(a) Licitude, lealdade e transparência: todos os dados pessoais e operações de tratamento de dados

serão realizados de forma lícita, leal e transparente em relação ao titular dos dados;

(b) Limitação das finalidades: todos os dados pessoais são e serão recolhidos para finalidades

determinadas, explícitas e legítimas e não podendo ser tratados posteriormente de uma forma

incompatível com essas finalidades, sem prejuízo da possibilidade de existência de tratamentos

posteriores para fins de arquivo, de investigação científica ou histórica ou para fins estatísticos,

aplicando-se nestas situações as garantias adequadas para os direitos e liberdades do titular dos

dados através da adoção de medidas técnicas e organizativas a fim de assegurar, nomeadamente, o

respeito do princípio da minimização dos dados;

(c) Minimização dos dados: todos os dados pessoais serão adequados, pertinentes e limitados ao que

é necessário relativamente às finalidades para as quais são tratados;

(d) Exatidão: todos os dados pessoais serão exatos e atualizados sempre que necessário, adotando a

SOCIEDADE as medidas adequadas para que os dados inexatos, tendo em conta as finalidades para

que são tratados, sem apagados ou retificados sem demora;

de 51

(e) Limitação da conservação: todos os dados pessoais serão conservados de uma forma que permita

a identificação dos titulares dos dados apenas durante o período necessário para as finalidades

para as quais são tratados, sem prejuízo de poderem ser conservados por períodos mais longos em

virtude do cumprimento das obrigações legais da SOCIEDADE, ou, para fins de arquivo, de

investigação científica ou histórica ou para fins estatísticos, aplicando-se nestas situações as

garantias adequadas para os direitos e liberdades do titular dos dados através da adoção de

medidas técnicas e organizativas a fim de assegurar, nomeadamente, o respeito do princípio da

minimização dos dados; e,

(f) Integridade e confidencialidade: todos os dados pessoais serão tratados de uma forma que garanta

a sua segurança, incluindo a proteção contra o seu tratamento não autorizado ou ilícito e contra a

sua perda, destruição ou danificação acidental, adotando as medidas técnicas ou organizativas

adequadas.

de 51

II. TRATAMENTO DE DADOS PESSOAIS EM GERAL

1. RESPONSÁVEL PELO TRATAMENTO.

1.1. Identificação do Responsável pelo tratamento.

1.2. A Responsável pelo Tratamento no âmbito da presente Política, é a sociedade, Vidros Cerejo, Lda

(adiante, “SOCIEDADE”), pessoa coletiva com NUIPC 503 906 573, com sede na Estrada Nacional

356, n.º 38, em Jardoeira, 2440 – 386 Batalha.

1.3. Encarregado para a proteção de dados.

(a) A SOCIEDADE poderá nomear um Encarregado para a proteção de dados, que atuará em

conformidade com a legislação.

(b) As competências e responsabilidades do Encarregado para a proteção de dados, assim como a

forma de interação deste com as Pessoas Sujeitas e os Titulares dos Dados, será objeto de Capítulo

próprio a adicionar à presente Politica em caso de revisão ordinária ou extraordinária.

2. OBJETO.

2.1. Finalidades gerais dos tratamentos

2.2. Os tratamentos de dados pessoais realizados pela SOCIEDADE e que estão abrangidos e regulados

pela presente Política, visam o exercício da sua atividade, nomeadamente, a gestão da sua relação

com os seus colaboradores, cliente e fornecedores, bem como, o cumprimento das suas obrigações

decorrentes da legislação que lhe é diretamente aplicável.

2.3. Sem prejuízo das regras diretamente dirigidas aos tratamentos de dados de colaboradores, clientes

e fornecedores, a presente Política regula igualmente situações específicas de tratamentos de

dados pessoais, nomeadamente:

(a) Utilização de meios de informação e comunicação pelas Pessoas Sujeitas;

(b) Monitorização das Pessoas Sujeitas;

(c) Utilização sistemas de CCTV; e,

(d) Segurança e Saúde no Trabalho.

de 51

2.4. Os fundamentos dos tratamentos encontram-se melhor descrito em cada secção

3. OBRIGAÇÕES RELATIVAS AO TRATAMENTO DOS DADOS.

3.1. Obrigações das Pessoas Sujeitas.

3.1.1. As Pessoas Sujeitas à presente Política deverão cumprir com a mesma no decorrer da sua atividade

e exercício das suas funções.

3.1.2. As Pessoas Sujeitas deverão, nomeadamente, no exercício das suas funções e quando tenham

acesso a dados pessoais:

(a) Tratar os dados pessoais em conformidade quer com as finalidades a que os referidos dados

pessoais se destinem, bem como, com as instruções da SOCIEDADE;

(b) Garantir que o acesso aos dados pessoais é limitado em conformidade com a sua necessidade de

saber, em conformidade com os deveres de confidencialidade a que estão vinculados

contratualmente;

(c) Não utilizar os dados pessoais a que tenham acesso para outras finalidades que não aquelas clara e

explicitamente necessárias ao exercício das suas funções;

(d) Não comunicar os dados pessoais a terceiros, mesmo para efeitos do seu armazenamento, para

além do necessário para cumprimento e execução das suas obrigações contratuais e das instruções

da SOCIEDADE;

(e) Informar, de imediato e por escrito, a SOCIEDADE da existência de qualquer irregularidade relativa

aos dados pessoais que detetem ou tenham conhecimento no exercício das suas funções;

(f) Informar a SOCIEDADE da existência de qualquer pedido de exercício de direitos e/ou reclamação

relativamente aos dados pessoais que tenham conhecimento no exercício das suas funções;

(g) Manter documentadas as operações que realizem em conformidade com as instruções da

SOCIEDADE;

(h) Cumprir com a obrigação de sigilo no que respeita ao conteúdo dos dados pessoais a que tenham

acesso no exercício das suas funções;

de 51

(i) Respeitar as medidas técnicas e organizativas implementadas para proteger os dados pessoais,

nomeadamente, aquelas presentes na Politica de Segurança da Informação e/ou outras políticas

e/ou regulamentos internos;

(j) Colaborar com a SOCIEDADE e fornecer a esta toda a documentação e informação que seja

necessária para demonstrar a conformidade com as obrigações estabelecidas na presente Politica e

na legislação.

3.2. Sensibilização e formação.

3.2.1. A SOCIEDADE irá proporcionar às Pessoas Sujeitas formação regular no âmbito da proteção de

dados e privacidade para garantir que as Pessoas Sujeitas têm conhecimento quer do conteúdo da

presente Politica, quer das regras e melhores práticas a aplicar no âmbito do cumprimento das

obrigações da SOCIEDADE no quadro legal da proteção de dados e para proteção dos direitos,

liberdades e garantidas dos Titulares dos Dados.

3.2.2. O âmbito e regularidade das ações de sensibilização e formação será objeto de decisão e

comunicação regular às Pessoas Sujeitas.

3.2.3. A participação das Pessoas Sujeitas nas referidas ações de sensibilização e formação é obrigatória.

3.3. Proteção de dados desde a conceção e por defeito.

3.3.1. A SOCIEDADE irá aplicar, tanto no momento de definição dos meios de tratamento como no

momento do próprio tratamento, as medidas técnicas e organizativas adequadas e necessárias a

aplicar com eficácia os princípios da proteção de dados.

3.3.2. A SOCIEDADE irá igualmente incluir no tratamento as garantias necessárias à proteção dos direitos

dos titulares dos dados.

3.3.3. Entre estas medidas incluem-se, nomeadamente, aquelas destinadas a assegurar que, por defeito,

só sejam tratados os dados pessoais que forem necessários para cada finalidade específica do

tratamento, nomeadamente, às categorias de dados pessoais recolhidos, à extensão do seu

tratamento, ao seu prazo de conservação e à sua acessibilidade.

3.3.4. Entre estas medidas incluem-se, nomeadamente, a pseudonimização e/ou minimização dos dados

pessoais.

3.4. Subcontratantes.

de 51

3.4.1. Quando a SOCIEDADE recorra a subcontratantes para realizarem o tratamento dos dados por sua

conta, a SOCIEDADE irá recorrer apenas a subcontratantes que apresentem garantias suficientes de

execução de medidas técnicas e organizativas adequadas de uma forma que o tratamento satisfaça

os requisitos da legislação e que permitam assegurar a defesa dos direitos do titular dos dados.

3.4.2. O recurso a subcontratantes deve ser sempre reduzido a contrato que estabeleça e regule o objeto

e a duração do tratamento, a natureza e finalidade do tratamento, o tipo de dados pessoais e as

categorias dos titulares dos dados e as obrigações e direitos da SOCIEDADE.

3.4.3. O contrato deve obrigatoriamente conter os seguintes elementos que vinculem o subcontratante:

(a) A identificação das finalidades a que o tratamento de dados se destina, assim como, quais as

categorias de dados pessoais objeto desse tratamento;

(b) A obrigação de conservar um registo de todas as categorias de atividades de tratamento realizadas

em nome da SOCIEDADE;

(c) A obrigatoriedade de que toda e qualquer operação de tratamento de dados pessoais seja realizada

apenas mediante instruções escritas da SOCIEDADE, excluindo as que resultem de obrigações legais

a que o subcontratante esteja sujeito, devendo informar a SOCIEDADE dessa mesma obrigação

antes do tratamento;

(d) A garantia do subcontratante relativamente à sujeição das pessoas autorizadas a tratar os dados

pessoais a obrigações de confidencialidade contratuais e/ou legais que sejam adequadas;

(e) A garantia e obrigatoriedade de ter implementadas as medidas técnicas e organizativas adequadas

para assegurar um nível de segurança adequado ao risco, devendo descrever detalhadamente quais

as medidas;

(f) A garantia da existência de capacidade para assegurar a confidencialidade, integridade,

disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;

(g) A garantia da existência de capacidade para restabelecer a disponibilidade e o acesso aos dados

pessoais de forma atempada no caso de um incidente físico ou técnico;

(h) A garantia da existência de ter implementado um processo para testar, apreciar e avaliar

regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do

tratamento;

de 51

(i) A impossibilidade de contratar outro subcontratante sem que a SOCIEDADE previamente e por

escrito assim o autorize de forma específica;

(j) Em caso de autorização, deve constar expressamente, (i) a identificação do subcontratante em

questão, (ii) as operações a realizar, (iii) as categorias de dados a que o subcontratante terá acesso,

(iv) o tempo que o tratamento durará, (v) nunca podendo o contrato entre as partes ter garantias

inferiores àquelas que a SOCIEDADE exige ao seu subcontratante;

(k) A obrigatoriedade de prestar toda a assistência necessária à SOCIEDADE no cumprimento da sua

obrigação de dar resposta aos pedidos dos titulares dos dados tendo em vista o exercício dos seus

direitos;

(l) A obrigatoriedade de notificar a SOCIEDADE de qualquer incidente de segurança no espaço de doze

(12) horas após ter tido conhecimento da mesma, independentemente de afetar ou não os dados

pessoais pelos quais a SOCIEDADE é responsável pelo tratamento;

(m) A obrigatoriedade de prestar toda a assistência necessária à SOCIEDADE no sentido de assegurar o

cumprimento das obrigações da SOCIEDADE no caso de uma violação de dados pessoais;

(n) A obrigatoriedade de apagar ou devolver à SOCIEDADE todos os dados pessoais na sua posse,

conforme as instruções desta, apagando as cópias existentes, a menos que a conservação dos

dados seja exigida ao abrigo de obrigação legal a que se encontre sujeito, devendo informar a

SOCIEDADE dessa mesma obrigação;

(o) A obrigatoriedade de disponibilizar à SOCIEDADE todas as informações necessárias para

demonstrar o cumprimento das obrigações previstas no contrato;

(p) A obrigatoriedade de colaborar e contribuir para quaisquer auditorias conduzidas pela SOCIEDADE

ou por outro auditor por esta mandatado para demonstrar o cumprimento das obrigações previstas

no contrato.

3.5. Registos das atividades de tratamento.

3.5.1. Caso a SOCIEDADE esteja vinculada nos termos do RGPD à obrigação de registo, a SOCIEDADE irá

conservar um registo por escrito, em formato eletrónico, de todas as atividades de tratamento sob

a sua responsabilidade.

3.5.2. Desse registo constam obrigatoriamente as seguintes informações:

de 51

(a) O nome e os contactos do SOCIEDADE e, existindo, do encarregado da proteção de dados;

(b) As finalidades do tratamento dos dados;

(c) A descrição das categorias de titulares de dados;

(d) A descrição das categorias de dados pessoais;

(e) As categorias de destinatários a quem os dados pessoais foram ou serão divulgados;

(f) A existência de transferências de dados pessoais para países terceiros, incluindo a identificação

desses países terceiros e, quando necessário, a documentação que comprove a existência das

garantias adequadas nos países terceiros;

(g) Os prazos de conservação das diferentes categorias de dados;

(h) Os prazos previstos para o apagamento das diferentes categorias de dados;

(i) As medidas técnicas e organizativas no domínio da segurança implementadas para assegurar um

nível de segurança adequado ao risco.

3.5.3. Sem prejuízo da obrigação legal de elaborar e manter o registo, a SOCIEDADE poderá optar por

elaborar o registo em questão para efeitos de gestão interna da informação.

3.6. Critérios dos prazos para conservação dos dados.

3.6.1. Os dados pessoais são conservados tendo em consideração o princípio da limitação da

conservação.

3.6.2. Os critérios de definição dos prazos de conservação dos dados pessoais são estabelecidos tendo em

consideração:

(a) As finalidades para as quais são tratados;

(b) As categorias de dados pessoais;

(c) Os riscos, de probabilidade e gravidade variável, para os direitos e liberdades dos titulares dos

dados;

(d) Os resultados de avaliações de impacto sobre a proteção de dados, e, quando aplicável, as

orientações da autoridade de controlo;

de 51

(e) Os códigos de conduta aprovados a que a SOCIEDADE tenha aderido;

(f) O cumprimento das obrigações legais da SOCIEDADE;

(g) As melhores práticas.

3.6.3. A SOCIEDADE poderá ainda conservar os dados pessoais para fins de arquivo, de investigação

científica ou histórica ou para fins estatísticos, aplicando-se nestas situações as garantias

adequadas para os direitos e liberdades do titular dos dados através da adoção de medidas técnicas

e organizativas a fim de assegurar, nomeadamente, o respeito do princípio da minimização dos

dados.

3.6.4. O prazo de conservação legais a que a SOCIEDADE se encontra vinculada é de 5 anos.

3.7. Auditorias. Cooperação com a Autoridade de Controlo.

3.7.1. A SOCIEDADE irá realizar auditorias internas de modo a validar o cumprimento da presente Política,

bem como, a identificar situações em que a mesma não esteja a ser cumprida de modo a proceder

com a correção dessas mesmas situações.

3.7.2. A SOCIEDADE irá cooperar com a autoridade de controlo, a pedido desta, na prossecução das suas

atribuições.

3.8. Avaliação de impacto.

3.8.1. A SOCIEDADE irá realizar avaliações de impacto sobre a proteção de dados quando um certo tipo de

tratamento, em particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito,

contexto e finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades dos

titulares dos dados.

3.8.2. A realização de uma avaliação de impacto sobre a proteção de dados é obrigatória quando ocorrer:

(a) Uma avaliação sistemática e completa dos aspetos pessoais relacionados com pessoas singulares,

baseada no tratamento automatizado, incluindo a definição de perfis, sendo com base nela

adotadas decisões que produzem efeitos jurídicos relativamente à pessoa singular ou que a afetem

significativamente de forma similar;

(b) Existirem operações de tratamento em grande escala de categorias especiais de dados ou de dados

pessoais relacionados com condenações penais e infrações; ou

de 51

(c) Existir um controlo sistemático de zonas acessíveis ao público em grande escala.

3.8.3. A SOCIEDADE deverá consultar a autoridade de controlo antes de proceder ao tratamento quando

a avaliação de impacto sobre a proteção de dados indicar que o tratamento resultaria num elevado

risco na ausência das medidas tomadas pela SOCIEDADE.

3.9. Segurança do tratamento.

3.9.1. A SOCIEDADE avalia e avaliará sempre, qual o nível de segurança adequado, às operações de

tratamento que realiza.

3.9.2. Para esse efeito a SOCIEDADE terá em consideração, nomeadamente:

(a) A natureza das operações de tratamento;

(b) As categorias de dados pessoais;

(c) Os riscos apresentados pelo tratamento, em particular devido à destruição, perda e alteração

acidentais ou ilícitas, e à divulgação ou ao acesso não autorizado, de dados pessoais transmitidos,

conservados ou sujeitos a qualquer outro tipo de tratamento.

3.9.3. Com base na avaliação a SOCIEDADE irá aplicar as medidas administrativas, lógicas e físicas

adequadas para assegurar um nível de segurança adequado ao risco. Entre estas medidas deverão

estar incluídas:

(a) A pseudonimização dos dados pessoais

(b) A cifragem dos dados pessoais;

(c) A capacidade de assegurar a confidencialidade, integridade, disponibilidade permanentes dos

sistemas e dos serviços de tratamento;

(d) A capacidade de assegurar resiliência permanentes dos sistemas e dos serviços de tratamento;

(e) A capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada

no caso de um incidente físico ou técnico;

(f) Um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e

organizativas para garantir a segurança do tratamento.

(g) As outras medidas melhor identificadas no âmbito da Política de Segurança da Informação.

de 51

3.9.4. Caso existam, a SOCIEDADE irá manter as certificações no âmbito da Segurança da Informação,

nomeadamente, ISO/IEC 27000, como elemento que permita demonstrar o cumprimento das

obrigações estabelecidas nesta Política e na legislação.

3.10. Procedimento geral para o exercício de direitos.

3.10.1. Os pedidos de exercício de direitos pelos titulares dos dados devem ser apresentados escrito

através de correio eletrónico.

3.10.2. A apresentação do pedido de exercício de direitos deverá ser enviado para o encarregado e

protecção de dados, através do mail, [email protected].

3.10.3. Na resposta aos pedidos de exercício de direitos, toda e qualquer informação é prestada por

escrito, nomeadamente, através de correio eletrónico.

3.10.4. Caso o titular dos dados o solicite, a informação poderá ser prestada oralmente, devendo a

identidade do titular ser comprovada e apresentado documento no qual o titular dos dados declare

ter recebido a informação oralmente, com referência ao dia e hora.

3.10.5. A SOCIEDADE deverá fornecer ao titular as informações sobre as medidas tomadas no prazo de

trinta (30) dias a contar da data de receção do pedido.

3.10.6. Este prazo pode ser prorrogado até sessenta (60) dias, quando for necessário, tendo em conta a

complexidade do pedido e o número de pedidos.

3.10.7. A SOCIEDADE informa o titular dos dados de alguma prorrogação e dos motivos da demora no

prazo de um mês a contar da data de receção do pedido.

3.10.8. Caso se decida não dar seguimento ao pedido apresentado pelo titular dos dados, este deverá ser

informado sem demora e, o mais tardar, no prazo de um mês a contar da data de receção do

pedido, das razões que o levaram a não tomar medidas e da possibilidade de apresentar

reclamação a uma autoridade de controlo e intentar ação judicial.

3.10.9. Sem prejuízo de o exercício de direitos ser gratuito, caso os pedidos apresentados por um titular de

dados forem manifestamente infundados ou excessivos, nomeadamente, devido ao seu caráter

repetitivo, a SOCIEDADE poderá exigir o pagamento de uma taxa razoável tendo em conta os custos

administrativos do fornecimento das informações ou da comunicação ou de tomada das medidas

solicitadas.

mailto:[email protected]

de 51

3.10.10. Todas as respostas a exercícios de direitos deverão ser arquivadas, e, sempre que possível, deverá

obter-se declaração do titular dos dados nesse sentido.

3.10.11. Os procedimentos específicos para resposta ao exercício de direitos seguirá o estabelecido na

legislação.

III. TRATAMENTO DE DADOS PESSOAIS EM PARTICULAR.

1. CANDIDATOS

1.1 Finalidades.

1.1.1 No âmbito dos processos de recrutamento levados a cabo pela SOCIEDADE, esta irá tratar dados

pessoais com o objetivo de analisar a selecionar os candidatos mais adequados às posições e

necessidades da SOCIEDADE.

1.1.2 O candidato deverá ser sempre informado que os dados pessoais recolhidos poderão ser utilizados

para efeitos de preparação e celebração do contrato de trabalho, em caso de sucesso e,

igualmente, para a ficha de colaborador.

1.2 Fundamento.

1.2.1 O tratamento de dados pessoais de candidatos fundamenta-se em:

(a) No consentimento do candidato para efeitos de análise da candidatura;

(b) Na sua necessidade para as diligências pré-contratuais a pedido do candidato em caso de sucesso

da candidatura;

(c) Cumprimento de obrigações legais da SOCIEDADE.

1.3 Recolha de dados.

1.3.1 Os dados pessoais dos candidatos são recolhidos através de:

(a) Formulário específico para o efeito existente no website da SOCIEDADE;

(b) Através de correio eletrónico enviado pelo candidato;

(c) Através do curriculum do candidato.

de 51

1.3.2 Poderão igualmente ser recolhidos dados pessoais no momento da entrevista aos candidatos.

1.3.3 A SOCIEDADE poderá ainda validar os dados pessoais recolhidos junto a terceiros quando a função

em questão a que o candidato se propõe assim o exigir, nomeadamente, em virtude de obrigações

legais a que a SOCIEDADE se encontre vinculada.

1.4 Informação a prestar.

1.4.1 A SOCIEDADE compromete-se a prestar aos candidatos as seguintes informações:

(a) A identidade e os contactos da SOCIEDADE;

(b) Os contactos do encarregado da proteção de dados, se tiver sido nomeado;

(c) As finalidades do tratamento a que os dados pessoais se destinam;

(d) O fundamento jurídico para o tratamento a que os dados pessoais se destinam;

(e) Se os houver, os destinatários ou categorias de destinatários dos dados pessoais;

(f) A existência de transferências dos dados pessoais para um país terceiro;

(g) O prazo de conservação dos dados pessoais e os critérios usados para definir esse prazo;

(h) A existência dos direitos e forma de exercício;

(i) O direito de apresentar uma reclamação junto à autoridade de controlo;

(j) O facto de a comunicação de dados pessoais constituir uma obrigação legal e um requisito

necessário para celebrar um contrato;

(k) As eventuais consequências de não fornecer esses dados;

(l) A existência de decisões automatizadas, incluindo a definição de perfis.

1.4.2 Estas informações devem ser apresentadas aos candidatos no momento de recolha dos dados, ou,

quando os dados pessoais não forem recolhidos junto dos candidatos, o mais tardar no prazo de

um mês após a obtenção dos dados pessoais ou no momento da primeira comunicação com os

candidatos, exceto quando os candidatos já tenha conhecimento das informações em questão.

1.5 Categorias de dados pessoais.

de 51

1.5.1 A SOCIEDADE irá proceder, nomeadamente, ao tratamento das categorias de dados pessoais dos

seus trabalhadores.

1.5.2 Quando a SOCIEDADE proceder ao tratamento de categorias especiais de dados pessoais,

fundamentará os referidos tratamentos.

(a) Para cumprimento das obrigações da SOCIEDADE no âmbito da medicina preventiva ou do

trabalho, para a avaliação da capacidade de trabalho do empregado, o diagnóstico médico, se

aplicável;

(b) No consentimento para o tratamento desses dados pessoais pelo titular dos dados para uma ou

mais finalidades específicas.

1.6 Prazo para conservação.

1.6.1 Os dados pessoais dos candidatos serão conservados por um período máximo de um (1) ano após a

recolha, sem prejuízo de serem conservados mais tempo em caso de sucesso da candidatura.

1.6.2 A SOCIEDADE considera que este período de conservação é suficiente face às melhores práticas do

mercado para que os dados pessoais dos candidatos se mantenham suficientemente atualizados

para a finalidade a que se destinam.

1.6.3 Findo este período de um (1) ano os dados dos candidatos serão automaticamente eliminados,

conservando-se contudo os dados que por força do cumprimento de obrigações legais da

SOCIEDADE tenham que ser conservados por períodos mais longos.

1.6.4 Sem prejuízo do número anterior, a SOCIEDADE poderá guardar o “nome”, “contacto

(email/telemóvel)” e “posição para qual o candidato se candidata” por cinco (5) anos.

1.7 Outros tratamentos.

1.7.1 Caso a SOCIEDADE tenha a intenção de proceder ao tratamento posterior dos dados pessoais dos

candidatos para um fim que não seja aquele para o qual os dados tenham sido inicialmente

recolhidos, antes de esse tratamento ter inicio a SOCIEDADE irá fornecer aos candidatos as

informações sobre esse fim e quaisquer outras informações pertinentes nos termos da lei.

1.8 Comunicação e Transferências.

de 51

1.8.1 A SOCIEDADE poderá comunicar os dados pessoais dos candidatos para outras empresas do Grupo

no âmbito da relação intragrupo e no quadro de serviços que sejam partilhados entre as empresas

que pertençam ao Grupo.

1.8.2 Sem prejuízo, a SOCIEDADE compromete-se a não transferir os dados pessoais, seja no âmbito de

comunicações intragrupo, seja no âmbito das operações a realizar sobre esses mesmos dados, para

países terceiros.

1.9 Subcontratantes.

1.9.1 A SOCIEDADE poderá comunicar os dados pessoais dos candidatos a prestadores de serviços de

recrutamento e gestão de recursos humanos.

1.9.2 A SOCIEDADE irá assegurar que os referidos prestadores de serviços apresentem garantias

suficientes de execução de medidas técnicas e organizativas adequadas de uma forma que o

tratamento satisfaça os requisitos da SOCIEDADE e da legislação, sendo o tratamento em

subcontratação por estes prestadores de serviços regulado por contrato e em conformidade com

esta Política.

1.10 Segurança do tratamento.

1.10.1 A SOCIEDADE aplica aos dados pessoais dos candidatos as medidas administrativas, lógicas e físicas

adequadas para assegurar um nível de segurança adequado, tendo em conta a natureza, o âmbito,

o contexto, as finalidades e os riscos dos tratamentos.

1.10.2 Estas medidas terão em consideração quer os princípios gerais estabelecidos nesta Politica, bem

como, as melhores práticas e a Politica de Segurança da Informação.

1.11 Exercício de direitos.

1.11.1 O exercício de direitos pelos candidatos regular-se-á pelo procedimento e regras previstas na

presente Politica e na legislação.

2. COLABORADORES.

2.1 Finalidades.

de 51

2.1.1 As atividades de tratamento de dados pessoais dos colaboradores da SOCIEDADE destinam-se às

atividades relacionadas com a administração e gestão do contrato de trabalho e da relação laboral

entre a SOCIEDADE e os colaboradores, nomeadamente:

(a) Gestão de recursos humanos;

(b) Processamento de renumerações;

(c) Formação profissional;

(d) Gestão de sanções disciplinares;

(e) Gestão de trabalho temporário;

(f) Gestão de teletrabalho;

(g) Segurança e Saúde no Trabalho;

(h) Controlo de horário/assiduidade.

2.1.2 A SOCIEDADE poderá ainda realizar o tratamento de dados pessoais necessários para efeito dos

interesses legítimos prosseguidos pela SOCIEDADE ou por terceiros, entre eles, outras entidades

que façam parte do Grupo, nomeadamente, quando o tratamento dos dados pessoais seja

estritamente necessário e proporcional de modo garantir a segurança das redes e da informação.

2.2 Fundamento.

2.2.1 O tratamento de dados pessoais dos colaboradores fundamenta-se em:

(a) Na sua necessidade para a execução de um contrato no qual o colaborador é parte;

(b) Na sua necessidade do cumprimento das obrigações jurídicas às quais a SOCIEDADE se encontra

sujeita;

(c) Na sua necessidade para efeito dos interesses legítimos prosseguidos pela SOCIEDADE ou por

terceiros.


de 51

2.3.1 Os dados pessoais, e outros que venham a ser objeto de tratamento pela SOCIEDADE, serão obtidos

através do contrato de trabalho, bem como através de outros documentos que venham a ser

solicitados pela SOCIEDADE, durante o exercício das funções do colaborador, e, no decorrer da

relação laboral entre a SOCIEDADE e o colaborador.


2.4.1 A SOCIEDADE compromete-se a prestar aos colaboradores as seguintes informações:














2.4.2 Estas informações devem ser apresentadas aos candidatos no momento de recolha dos dados, ou,

quando os dados pessoais não forem recolhidos junto dos candidatos, o mais tardar no prazo de


candidatos, exceto quando os candidatos já tenha conhecimento das informações em questão.

2.5 Obrigação legal.

de 51

2.5.1 As operações de tratamentos de dados pessoais dos colaboradores são necessárias quer para a

execução do contrato entre a SOCIEDADE e os colaboradores, quer para o cumprimento das

obrigações legais a que a SOCIEDADE se encontra sujeita, nomeadamente, no âmbito da legislação

laboral, de segurança social e fiscal, pelo que, a comunicação dos dados pessoais constitui uma

obrigação contratual e legal, assim como um requisito necessário para a execução do contrato de

trabalho entre a SOCIEDADE e os colaboradores.


2.6.1 A SOCIEDADE irá proceder, nomeadamente, ao tratamento das categorias de dados pessoais dos

colaboradores melhor identificados no Anexo 3 (“Categorias de Dados Pessoais de Colaboradores”)

a esta Politica.

2.7 Categorias de dados especiais.

2.7.1 A SOCIEDADE poderá realizar tratamentos de categorias especiais de dados pessoais quando:

(a) Necessário para efeitos do cumprimento de obrigações e do exercício de direitos específicos da

SOCIEDADE em matéria de legislação laboral, de segurança social e de proteção social; ou,

(b) Necessário para efeitos de medicina preventiva ou do trabalho, para a avaliação da capacidade de

trabalho do Colaborador.

2.7.2 Os tratamentos de categorias especiais de dados pessoais e informação complementar a estes

tratamentos, encontram-se melhor descritos na secção desta Politica relativa às categorias

especiais de dados pessoais, ou, no âmbito de outras politicas e/ou regulamentos internos da

SOCIEDADE.


2.8.1 A SOCIEDADE irá conservar os dados pessoais apenas durante o período necessário à execução das

finalidades a que os mesmos se destinam, nomeadamente, durante a execução do contrato.

2.8.2 Sem prejuízo, a SOCIEDADE irá igualmente conservar os dados pessoais durante o período

necessário ao cumprimento das obrigações legais a que a SOCIEDADE se encontra sujeita,

nomeadamente, no âmbito da legislação laboral, de segurança social e fiscal.

2.8.3 Em caso de litígio entre a SOCIEDADE e os colaboradores, a SOCIEDADE poderá conservar os dados

pessoais até ao trânsito em julgado da decisão judicial.

de 51



colaboradores para um fim que não seja aquele para o qual os dados tenham sido inicialmente

recolhidos, antes de esse tratamento ter inicio a SOCIEDADE irá fornecer aos colaboradores as



2.10.1 A SOCIEDADE, no âmbito das atividades relacionadas com a administração e gestão do contrato de

trabalho e da relação laboral, poderá comunicar e/ou transferir os dados pessoais dos

colaboradores às entidades a seguir identificadas, não excluindo outras entidades não

mencionadas, mas que tenham legitimidade legal para proceder ao tratamento dos dados em

questão:

(a) IGFSS – Instituto de Gestão Financeira da Segurança Social;

(b) AT – Autoridade Tributária;

(c) Instituições Bancárias e Seguradoras;

(d) INE – Instituto Nacional de Estatística;

(e) ACT – Autoridade para as Condições do Trabalho;

2.10.2 Tendo em consideração a integração da SOCIEDADE no Grupo os dados pessoais dos

colaboradores, identificados ou que venham a ser recolhidos no âmbito de outras politicas e/ou

regulamentos internos da SOCIEDADE, quer parcialmente ou na sua totalidade, podem ser

comunicados e/ou transferidos para outras entidades que façam parte do Grupo.

2.10.3 As referidas comunicações e/ou transferências terão como finalidade operações e atividades

relacionadas com a administração e gestão do contrato de trabalho e da relação laboral, e, para

efeito dos interesses legítimos prosseguidos pela SOCIEDADE.

2.10.4 A SOCIEDADE garante que em caso de qualquer transferência de dados que ocorra para fora do

espaço da União Europeia, tanto a SOCIEDADE como o terceiro destinatário dos dados pessoais em

questão, cumprirão com as suas obrigações legais quanto às condições de tal transferência,

nomeadamente, no que respeita à aplicação de medidas técnicas e organizativas adequadas para

assegurar um nível de segurança adequado ao risco.

de 51


2.11.1 A SOCIEDADE poderá comunicar os dados pessoais dos colaboradores a prestadores de serviços,

nomeadamente:

(a) Entidade que tem a seu cargo o desempenho das funções relativas à Segurança, Higiene e Medicina

no trabalho;

(b) Qualquer outra entidade à qual tenham sido atribuídas funções de processamento de salários;

(c) Entidade à qual tenham sido atribuídas funções relacionadas com a gestão de recursos humanos.

2.11.2 As comunicações e/ou transferências referidas no número anterior tem como finalidade,

nomeadamente:

(a) O cálculo e pagamento de retribuições, prestações acessórias, outros abonos e gratificações;

(b) O cálculo, retenção na fonte e operações relativas a descontos na retribuição, obrigatórios ou

facultativos, decorrentes de disposição legal;

(c) A realização de operações estatísticas não nominativas relacionadas com o processamento de

salários no âmbito da entidade processadora;

(d) O cumprimento das obrigações a que a SOCIEDADE se encontra sujeita, nomeadamente, no âmbito

da legislação laboral, de segurança social e fiscal





esta Política.


2.12.1 A SOCIEDADE aplica aos dados pessoais dos colaboradores as medidas administrativas, lógicas e

físicas adequadas para assegurar um nível de segurança adequado, tendo em conta a natureza, o

âmbito, o contexto, as finalidades e os riscos dos tratamentos.



de 51


2.13.1 O exercício de direitos pelos candidatos regular-se-á pelo procedimento e regras previstas na


3. CLIENTES.

3.1 Finalidades.

3.1.1 As atividades de tratamento de dados pessoais dos clientes da SOCIEDADE destinam-se às

atividades relacionadas com a administração e gestão da sua atividade comercial e das relações

comerciais estabelecidas entre a SOCIEDADE e os clientes, nomeadamente, aquelas que se

enquadram nas seguintes atividades:

(a) Gestão económica e contabilística;

(b) Gestão administrativa;

(c) Gestão de faturação;

(d) Gestão de clientes;

(e) Gestão de cobranças e pagamentos;

(f) Marketing;

(g) Sondagens e inquéritos de opinião;

(h) Análise de perfis de consumo;

(i) Fidelização de clientes;

(j) Fins estatísticos;

(k) Registo de utilizadores em website da internet.




estritamente necessário e proporcional de modo garantir a:

de 51

(a) A deteção e prevenção de fraudes;

(b) O cumprimento de obrigações de legislação, ordens de tribunais ou órgãos reguladores

estrangeiros a que a SOCIEDADE se encontre vinculada, nomeadamente, através da sua relação e

integração no Grupo

(c) O cumprimento para com mecanismos de autorregulação a que a SOCIEDADE tenha aderido;

(d) A segurança das redes e da informação;

(e) Operações corporativas gerais e auditorias;

(f) O desenvolvimento e aprimoramento de produtos.

3.2 Fundamento.

3.2.1 O tratamento de dados pessoais dos clientes fundamenta-se em:

(a) Na sua necessidade para a execução de um contrato no qual o cliente é parte;

(b) Na sua necessidade do cumprimento das obrigações jurídicas às quais a SOCIEDADE se encontra

sujeita;

(c) No consentimento do cliente, nomeadamente, para efeitos de marketing;

(d) Na sua necessidade para efeito dos interesses legítimos prosseguidos pela SOCIEDADE ou por

terceiros.



através:

(a) Do contrato entre a SOCIEDADE e o cliente;

(b) Através de documentos que venham a ser solicitados pela SOCIEDADE;

(c) Durante a execução do contrato;

(d) Junto a outras entidades, nomeadamente, entidades de notação e junto a entidades de supervisão

e regulação.

de 51


3.4.1 A SOCIEDADE compromete-se a prestar aos clientes as seguintes informações:














3.4.2 Estas informações devem ser apresentadas aos clientes no momento de recolha dos dados, ou,

quando os dados pessoais não forem recolhidos junto dos clientes, o mais tardar no prazo de um

mês após a obtenção dos dados pessoais ou no momento da primeira comunicação com os

clientes, exceto quando os clientes já tenha conhecimento das informações em questão.


3.5.1 Quando o tratamento dos dados pessoais dos clientes sejam necessários por imposição legal para o

cumprimento das obrigações legais da SOCIEDADE, essa informação deve ser fornecida ao cliente

em conformidade com o número 3.4.2 anterior.

3.6 Categorias especiais de dados pessoais.

de 51

3.6.1 A SOCIEDADE poderá realizar tratamentos de categorias especiais de dados pessoais quando o

referido tratamento seja necessário para efeitos do cumprimento de obrigações contratuais e do

exercício de direitos específicos da SOCIEDADE em conformidade com a legislação.






nomeadamente, no âmbito da legislação e fiscal, mas também durante o período de tempo

adequado ao exercício e defesa de direitos judiciais.

3.7.3 Em caso de litígio entre a SOCIEDADE e os clientes, a SOCIEDADE poderá conservar os dados




clientes para um fim que não seja aquele para o qual os dados tenham sido inicialmente recolhidos,

antes de esse tratamento ter inicio a SOCIEDADE irá fornecer aos clientes as informações sobre

esse fim e quaisquer outras informações pertinentes nos termos da lei.


3.9.1 A SOCIEDADE, no âmbito das atividades relacionadas com a administração e gestão dos contratos e

relações comerciais com os clientes, poderá comunicar e/ou transferir os dados pessoais dos

clientes às entidades a seguir identificadas, não excluindo outras entidades não mencionadas, mas

que tenham legitimidade legal para proceder ao tratamento dos dados em questão:

(a) AT – Autoridade Tributária;

(b) Instituições Bancárias e Seguradoras;

(c) Autoridades regulatórias e judiciais.

de 51

3.9.2 Tendo em consideração a integração da SOCIEDADE no Grupo os dados pessoais dos clientes,

identificados ou que venham a ser recolhidos no âmbito de outras politicas e/ou regulamentos

internos da SOCIEDADE, quer parcialmente ou na sua totalidade, podem ser comunicados e/ou

transferidos para outras entidades que façam parte do Grupo.


relacionadas com a administração e gestão dos contratos e das relações comerciais com os clientes,

e, para efeito dos interesses legítimos prosseguidos pela SOCIEDADE.







3.10.1 A SOCIEDADE poderá comunicar os dados pessoais dos clientes a prestadores de serviços,

nomeadamente, no âmbito de serviços de gestão administrativa, gestão de faturação, gestão de

clientes, gestão de cobranças e pagamentos, marketing, sondagens e inquéritos de opinião, análise

de perfis de consumo, e/ou, fidelização de clientes.


nomeadamente, a administração e gestão da sua atividade comercial e das relações comerciais

estabelecidas entre a SOCIEDADE e os clientes.





esta Política.


3.11.1 A SOCIEDADE aplica aos dados pessoais dos clientes as medidas administrativas, lógicas e físicas



de 51




3.12.1 O exercício de direitos pelos clientes regular-se-á pelo procedimento e regras previstas na presente

Politica e na legislação.

4. FORNECEDORES.

4.1 Finalidades.

4.1.1 As atividades de tratamento de dados pessoais dos fornecedores da SOCIEDADE destinam-se às

atividades relacionadas com a administração e gestão da sua atividade comercial e das relações

comerciais estabelecidas entre a SOCIEDADE e os fornecedores, nomeadamente, aquelas que se

enquadram nas seguintes atividades:

(l) Gestão económica e contabilística;

(m) Gestão administrativa;

(n) Gestão de faturação;

(o) Gestão de fornecedores;

(p) Gestão de cobranças e pagamentos.




estritamente necessário e proporcional de modo garantir a:

(g) A deteção e prevenção de fraudes;

(h) O cumprimento de obrigações de legislação, ordens de tribunais ou órgãos reguladores

estrangeiros a que a SOCIEDADE se encontre vinculada, nomeadamente, através da sua relação e

integração no Grupo

(i) O cumprimento para com mecanismos de autorregulação a que a SOCIEDADE tenha aderido;

de 51

(j) A segurança das redes e da informação;

(k) Operações corporativas gerais e auditorias;

(l) O desenvolvimento e aprimoramento de produtos.

4.2 Fundamento.

4.2.1 O tratamento de dados pessoais dos fornecedores fundamenta-se em:

(e) Na sua necessidade para a execução de um contrato no qual o fornecedor é parte;

(f) Na sua necessidade do cumprimento das obrigações jurídicas às quais a SOCIEDADE se encontra

sujeita;

(g) Na sua necessidade para efeito dos interesses legítimos prosseguidos pela SOCIEDADE ou por

terceiros.



através:

(a) Do contrato entre a SOCIEDADE e o fornecedor;

(b) Através de documentos que venham a ser solicitados pela SOCIEDADE;

(c) Durante a execução do contrato;

(d) Junto a outras entidades, nomeadamente, junto a entidades de supervisão e regulação.


4.4.1 A SOCIEDADE compromete-se a prestar aos fornecedores as seguintes informações:

(m) A identidade e os contactos da SOCIEDADE;

(n) Os contactos do encarregado da proteção de dados, se tiver sido nomeado;

(o) As finalidades do tratamento a que os dados pessoais se destinam;

(p) O fundamento jurídico para o tratamento a que os dados pessoais se destinam;

de 51

(q) Se os houver, os destinatários ou categorias de destinatários dos dados pessoais;

(r) A existência de transferências dos dados pessoais para um país terceiro;

(s) O prazo de conservação dos dados pessoais e os critérios usados para definir esse prazo;

(t) A existência dos direitos e forma de exercício;

(u) O direito de apresentar uma reclamação junto à autoridade de controlo;

(v) O facto de a comunicação de dados pessoais constituir uma obrigação legal e um requisito


(w) As eventuais consequências de não fornecer esses dados;

(x) A existência de decisões automatizadas, incluindo a definição de perfis.

4.4.2 Estas informações devem ser apresentadas aos clientes no momento de recolha dos dados, ou,

quando os dados pessoais não forem recolhidos junto dos fornecedores, o mais tardar no prazo de


clientes, exceto quando os fornecedores já tenha conhecimento das informações em questão.


4.5.1 Quando os tratamentos dos dados pessoais dos fornecedores sejam necessários por imposição

legal para o cumprimento das obrigações legais da SOCIEDADE, essa informação deve ser fornecida

aos fornecedores em conformidade com o número 3.4.2 anterior.


4.6.1 A SOCIEDADE poderá realizar tratamentos de categorias especiais de dados pessoais quando o

referido tratamento seja necessário para efeitos do cumprimento de obrigações e do exercício de

direitos específicos da SOCIEDADE em matéria de legislação.

4.6.2 Os tratamentos de categorias especiais de dados pessoais e informação complementar a estes

tratamentos, encontram-se melhor descritos na secção desta Politica relativa às categorias

especiais de dados pessoais, ou, no âmbito de outras politicas e/ou regulamentos internos da

SOCIEDADE.


de 51





nomeadamente, no âmbito da legislação e fiscal, mas também durante o período de tempo

adequado ao exercício e defesa de direitos judiciais.

4.7.3 Em caso de litígio entre a SOCIEDADE e os fornecedores, a SOCIEDADE poderá conservar os dados




fornecedores para um fim que não seja aquele para o qual os dados tenham sido inicialmente

recolhidos, antes de esse tratamento ter inicio a SOCIEDADE irá fornecer aos clientes as



4.9.1 A SOCIEDADE, no âmbito das atividades relacionadas com a administração e gestão dos contratos e

relações comerciais com os fornecedores, poderá comunicar e/ou transferir os dados pessoais dos

clientes às entidades a seguir identificadas, não excluindo outras entidades não mencionadas, mas

que tenham legitimidade legal para proceder ao tratamento dos dados em questão:

(a) AT – Autoridade Tributária;

(b) Instituições Bancárias e Seguradoras;

(c) Autoridades regulatórias e judiciais.

4.9.2 Tendo em consideração a integração da SOCIEDADE no Grupo, os dados pessoais dos fornecedores,

identificados ou que venham a ser recolhidos no âmbito de outras politicas e/ou regulamentos

internos da SOCIEDADE, quer parcialmente ou na sua totalidade, podem ser comunicados e/ou

transferidos para outras entidades que façam parte do Grupo.


relacionadas com a administração e gestão dos contratos e das relações comerciais com os

fornecedores, e, para efeito dos interesses legítimos prosseguidos pela SOCIEDADE.

de 51







4.10.1 A SOCIEDADE poderá comunicar os dados pessoais dos fornecedores a prestadores de serviços,

nomeadamente, no âmbito de serviços de gestão administrativa, gestão de faturação, gestão de

fornecedores, gestão de cobranças e/ou pagamentos.


nomeadamente, a administração e gestão da sua atividade comercial e das relações comerciais

estabelecidas entre a SOCIEDADE e os fornecedores





esta Política.


4.11.1 A SOCIEDADE aplica aos dados pessoais dos fornecedores as medidas administrativas, lógicas e

físicas adequadas para assegurar um nível de segurança adequado, tendo em conta a natureza, o

âmbito, o contexto, as finalidades e os riscos dos tratamentos.




4.12.1 O exercício de direitos pelos fornecedores regular-se-á pelo procedimento e regras previstas na


5. UTILIZAÇÃO DE MEIOS DE INFORMAÇÃO E COMUNICAÇÃO.

de 51

5.1 Princípios gerais.

5.1.1 Sem prejuízo de as regras e princípios associados à utilização de meios de informação e

comunicação pelas Pessoas Sujeitas encontrarem-se melhor desenvolvidos no âmbito da Politica de

Segurança da Informação, esta Politica reforça as referidas regras e princípios.

5.1.2 No caso especifico do controlo de chamadas de telefone/telemóvel realizadas, apenas os seguintes

dados pessoais das Pessoas Sujeitas poderão ser objeto de tratamento:

(a) Identificação do utilizador;

(b) A sua categoria/função;

(c) Número de telefone chamado/recebido com eliminação dos últimos quatro dígitos;

(d) Tipo de chamada;

(e) Duração da chamada; e,

(f) Custo da chamada.

5.1.3 Tendo presente que os correios eletrónicos profissionais SOCIEDADE pertencem a esta, as Pessoas

Sujeitas devem cumprir com as seguintes regras:

(a) As Pessoas Sujeitas deverão ter pastas próprias, devidamente identificadas como "PESSOAL", onde

arquivem os correios eletrónicos de conteúdo pessoal que estejam presentes na caixa de correio

profissional;

(b) Todas as mensagens recebidas que contrariem esta política ou outras, deverão ser eliminadas;

(c) Nas situações de ausência programada (v.g., férias, licença de parentalidade) as Pessoas Sujeitas

deverão ativar o mecanismo de resposta automática de ausência (out of office) com indicação de

endereço alternativo do encarregado de protecção de dados, nunca referindo qualquer informação

quanto ao motivo da ausência;

(d) Caso as Pessoas Sujeitas deixem de colaborar com a SOCIEDADE terá um prazo comunicado pelo

departamento de recursos humanos, para retirar os conteúdo pessoais, findo o qual a conta será

eliminada.

de 51

5.1.4 Caso seja necessário aceder ao correio eletrónico de alguma Pessoa Sujeita, a SOCIEDADE

comunicará previamente por escrito à Pessoa Sujeita para que este esteja presente ou, em

alternativa, indique alguém para estar presente. Estarão igualmente presentes, quando tal acesso

ocorrer, um representante dos recursos humanos, uma testemunha, e, existindo, o Encarregado

para a proteção de dados e o representante sindical.

5.1.5 Todo e qualquer tratamento de dados que tenha lugar na situação acima referida será efetuado

conforme a legislação e em respeito pelos correios eletrónicos de teor pessoal, e, se necessário,

comunicado à autoridade de controlo interessada.


5.2.1 A SOCIEDADE irá conservar os dados pessoais durante o período legal de contestação da fatura, no

caso dos dados referentes ao controlo de chamadas de telefone/telemóvel realizadas, e, no caso do

correio eletrónico, durante o período de tempo de exercício de funções da Pessoa Sujeita.


necessário ao cumprimento das obrigações legais a que a SOCIEDADE se encontra sujeita.

5.2.3 Em caso de litígio entre a SOCIEDADE e as Pessoas Sujeitas, a SOCIEDADE poderá conservar os

dados pessoais até ao trânsito em julgado da decisão judicial.


5.3.1 A SOCIEDADE, no âmbito do tratamento de dados pessoais relacionadas com utilização de meios de

informação e comunicação pelas Pessoas Sujeitas, poderá comunicar e/ou transferir os dados

pessoais recolhidos a autoridades regulatórias e judiciais, não excluindo outras entidades não

mencionadas, mas que tenham legitimidade legal para proceder ao tratamento dos dados em

questão.

5.3.2 Tendo em consideração a integração da SOCIEDADE no Grupo, os dados pessoais recolhidos podem

ser comunicados e/ou transferidos para outras entidades que façam parte do Grupo.


relacionadas com a administração e gestão da SOCIEDADE, e, para efeito dos interesses legítimos

prosseguidos pela SOCIEDADE.

de 51







5.4.1 A SOCIEDADE poderá comunicar os dados pessoais das Pessoas Sujeitas a prestadores de serviços,

nomeadamente, no âmbito de serviços de apoio jurídico.


nomeadamente, a instrução de processos disciplinares.





esta Política.


5.5.1 A SOCIEDADE aplica aos dados pessoais recolhidos as medidas administrativas, lógicas e físicas






5.6.1 O exercício de direitos pelas Pessoas Sujeitas regular-se-á pelo procedimento e regras previstas na


6. MONITORIZAÇÃO.

6.1 Princípios gerais.

de 51

6.1.1 Sem prejuízo de as regras e princípios associados à monitorização das Pessoas Sujeitas

encontrarem-se melhor desenvolvidos no âmbito da Politica de Segurança da Informação, esta

Politica reforça as referidas regras e princípios.

6.1.2 A monitorização das Pessoas Sujeitas enquanto Utilizadores dos sistemas de informação,

nomeadamente, as comunicações eletrónicas, internet e Nuvem, é reconhecida e permitida pela lei

dentro dos poderes de direção da SOCIEDADE, desde que em conformidade com as orientações e

legislação de proteção de dados, para que se garanta às Pessoas Sujeitas o respeito pela sua

privacidade e pela proteção dos seus dados pessoais.

6.1.3 Quando tal monitorização tenha lugar, terá sempre como finalidade a gestão dos recursos da

SOCIEDADE de modo a garantir a sua utilização segura tendo em atenção a natureza da atividade

da SOCIEDADE.

6.1.4 Na utilização de ferramentas e mecanismos de monitorização, e após avaliar o impacto de tais

medidas na privacidade das Pessoas Sujeitas de modo a que sejam o menos intrusivas possíveis, a

SOCIEDADE irá:

(a) Qualquer nova operação de videovigilância que possa decorrer será objeto de uma avaliação de

impacto em conformidade com o RGPD antes de a mesma ter início;

(b) Privilegiar metodologias genéricas de controlo, afastando, sempre que possível, o tratamento

individualizado de dados pessoais;

(c) Informar as Pessoas Sujeitas sobre a existência do controlo, cumprindo com os deveres legais de

informação, bem como sobre o grau de tolerância admitido e as consequências da má utilização ou

utilização indevida;

(d) Conservar os dados pessoais tratados apenas pelo período necessário, sem prejuízo da sua

manutenção no decurso de processo disciplinar ou judicial.

6.1.5 Outros controlos (email, tráfego, internet) serão direcionados, exclusivamente, para as Pessoas

Sujeitas que tenham acesso a informação confidencial, quando existam fundadas suspeitas que

fundamentem esse controlo, bem como para os Utilizadores cujas áreas e atividades apresentam

um maior “risco” para a SOCIEDADE e/ou para o Grupo.

6.1.6 Para esse efeito, a SOCIEDADE poderá adotar a utilização de software destinado à prevenção de

perda de informação (Data Prevention Loss).

de 51

6.1.7 Caso se verifique um abuso na utilização das informações, instalações, redes, dispositivos e

sistemas será emitido um aviso à Pessoa Sujeita, i.e., ao Utilizador.


6.2.1 A SOCIEDADE irá conservar os dados pessoais durante seis (6) meses após a recolha dos mesmos.






6.3.1 A SOCIEDADE, no âmbito do tratamento de dados pessoais relacionados com a monitorização,

poderá comunicar e/ou transferir os dados pessoais recolhidos a autoridades regulatórias e

judiciais, não excluindo outras entidades não mencionadas, mas que tenham legitimidade legal

para proceder ao tratamento dos dados em questão.

6.3.2 Tendo em consideração a integração da SOCIEDADE no Grupo, os dados pessoais recolhidos podem

ser comunicados e/ou transferidos para outras entidades que façam parte do Grupo.


relacionadas com a administração e gestão da SOCIEDADE, e, para efeito dos interesses legítimos

prosseguidos pela SOCIEDADE.







6.4.1 A SOCIEDADE poderá comunicar os dados pessoais das Pessoas Sujeitas a prestadores de serviços,

nomeadamente, no âmbito de serviços de apoio jurídico.

de 51


nomeadamente, a instrução de processos disciplinares.





esta Política.










7. VIDEOVIGILÂNCIA.

7.1 Princípio geral.

7.1.1 Sem prejuízo das regras e princípios associados à utilização sistemas de CCTV (closed-circuit

television) ou videovigilância que possam afetar a privacidade das Pessoas Sujeitas que se possam

encontrar noutros documentos da SOCIEDADE, esta Politica reforça as referidas regras e princípios.

7.1.2 Assim, na utilização dos sistemas de CCTV a SOCIEDADE:

(a) Não irá proceder à recolha de som;

(b) As câmaras não irão incidir diretamente sobre as Pessoas Sujeitas (colaboradores) durante a

atividade laboral;

de 51

(c) As imagens não poderão ser utilizadas para o controlo da atividade das Pessoas Sujeitas

(colaboradores), seja para aferir a produtividade seja para efeitos de responsabilização disciplinar;

(d) Não serão, em circunstância alguma recolhidas imagens de acesso ou interior de instalações

sanitárias, balneários, vestiários ou outras áreas destinadas às Pessoas Sujeitas, designadamente

refeitórios ou bares.

(e) Sinalética apropriada nos termos da legislação identificará a presença das câmeras de CCTV no

local;

(f) Qualquer nova operação de videovigilância que possa decorrer será objeto de uma avaliação de

impacto em conformidade com o RGPD antes de a mesma ter início.

7.1.3 O exercício de direitos regular-se-á pelo procedimento e regras previstas na presente Politica e na

legislação.


7.2.1 A SOCIEDADE irá conservar os dados pessoais durante trinta (30) dias.






7.3.1 As imagens só podem ser transmitidas no termos da lei processual penal.

7.3.2 Detetada uma eventual infração penal, a SOCIEDADE juntamente com a participação, enviará à

autoridade judiciária ou ao órgão de polícia criminal competentes as imagens recolhidas.

7.3.3 Noutras situações em que as autoridades solicitem acesso às imagens, tal só poderá ocorrer, no

âmbito de processo judicial devidamente identificado, em cumprimento de despacho

fundamentado da autoridade judiciária competente.

de 51







7.4.1 A SOCIEDADE poderá utilizar os dados pessoais das Pessoas Sujeitas a prestadores de serviços,

nomeadamente, no âmbito da prestação de serviços de videovigilância com vista à proteção de

pessoas e bens.





esta Política.










8. SEGURANÇA E SAÚDE NO TRABALHO.

8.1 Princípio geral.

de 51

8.1.1 Sem prejuízo de as regras e princípios estabelecidos em regulamento interno relativos à Segurança

e Saúde no Trabalho (SST) a SOCIEDADE garante o cumprimento da legislação relativa à proteção de

dados pessoais e privacidade, bem como, a atuação em conformidade com as melhores práticas de

modo a garantir que os dados pessoais das Pessoas Sujeitas (colaboradores) é tratada para

finalidades específicas, determinadas e não excessivas, nomeadamente, tendo em consideração

que são categorias especiais de dados pessoais.

8.2 Finalidades.

8.2.1 Os dados pessoais recolhidos no âmbito da SST destinam-se apenas ao cumprimento das

obrigações legais da SOCIEDADE, no campo da promoção da segurança e da saúde no trabalho,

incluindo a prevenção.

8.3 Fundamento.

8.3.1 A legitimidade para estes tratamentos decorre do disposto nos artigos 281º a 284º do Código do

Trabalho, bem como da Lei nº 102/2009, de 10 de Setembro, pelo que o fundamento, em termos

gerais, para estes tratamentos assenta na medida em que a gestão de informação visa assegurar o

cumprimento de uma obrigação legal a que a SOCIEDADE está vinculada.


8.4.1 A SOCIEDADE apenas deverá ser informada dos resultados através da “ficha de aptidão”, sendo

informação de saúde em caso algum comunicada à SOCIEDADE.

8.4.2 As observações clínicas relativas à informação de saúde são anotadas em ficha própria que serve de

base ao preenchimento da "ficha de aptidão", a qual, será remetida ao responsável pela área dos

recursos humanos, o qual a conservará em lugar de acesso reservado e separada da ficha do

colaborador.


8.5.1 A SOCIEDADE garante às Pessoas Sujeitas s o direito à informação, nomeadamente, através da

presente Politica.

8.6 As Pessoas Sujeitas têm o direito de obter diretamente da SOCIEDADE, por intermédio de médico

escolhido pela Pessoa Sujeita, que pode ser, através de solicitação da Pessoa Sujeita, o médico do

trabalho, a seguinte informação:

de 51

(a) Confirmação de serem ou não tratados dados que lhe digam respeito;

(b) Informação sobre as finalidades desse tratamento;

(c) Informação sobre as categorias de dados;

(d) Informação sobre os destinatários ou categorias de destinatários a quem são comunicados os

dados;

(e) Informação sobre a existência de tratamento automatizado dos dados que lhe digam respeito.


8.7.1 As Pessoas Sujeitas deverão colaborar com a SOCIEDADE no âmbito do cumprimento das suas

obrigações legais.


8.8.1 Mostram-se necessárias para a prossecução desta finalidade as seguintes categorias de dados:

8.8.1.1 Dados de identificação;

(a) Dados de saúde (tais como anamnese, resultados de exames de medicina do trabalho, ocorrência

de baixas por doença e/ou decorrentes de sinistro, exames complementares realizados,

diagnóstico, prognóstico e terapêutica);

(b) Dados relativos à atividade profissional;

(c) Dados sobre risco de doença profissional e doenças profissionais.

8.8.1.2 Caso se relacionem com patologia específica e/ou com outros dados de saúde:

(a) Dados sobre o consumo de tabaco, café, drogas, alcoolemia;

(b) Dados relativos à vida sexual.


8.9.1 Nos termos do disposto no nº 5 do artigo 73º-B da Lei nº 102/2009, de 10 de Setembro, os dados

pessoais podem ser conservados pelo período máximo de cinco anos.

de 51

8.9.2 Nas situações de existência de processo judicial, nomeadamente decorrente de acidente de

trabalho ou doença profissional, a informação pode ser conservada para além daquele prazo,

enquanto se mostrar necessária, designadamente a revisão judicial da incapacidade.


8.10.1 Sem prejuízo das comunicações legalmente previstas, não haverá comunicação de dados.

8.10.2 A ficha clinica só pode ser facultada às autoridades de saúde e aos médicos da Autoridade para as

Condições de Trabalho.


8.11.1 A SOCIEDADE poderá recorrer a prestadores de serviços, nomeadamente, para a prestação dos

serviços no âmbito da SST.

8.11.2 As regras elencadas nesta Politica para o recurso a subcontratantes aplicam-se, sendo reforçadas

no que respeita à segurança do tratamento.




o contexto, as finalidades e os riscos dos tratamentos, e, no caso de categorias especiais de dados,

as referidas medidas serão reforçadas, nomeadamente, no que respeita à limitação de acesso e

encriptação dos dados.




8.13.1 As Pessoas Sujeitas têm o direito de exercer os seus direitos, por intermédio de médico escolhido

pela Pessoa Sujeita, que pode ser, através de solicitação da Pessoa Sujeita, o médico do trabalho.

IV. OUTRAS OBRIGAÇÕES.

1. VIOLAÇÕES DE DADOS PESSOAIS.

de 51

1.1. Princípio geral.

1.1.1. Em caso de uma violação de dados pessoais, sem prejuízo das regras estabelecidas na Politica de

Segurança da Informação, a SOCIEDADE atuará em conformidade com as seguintes regras e

procedimento.

1.2. Notificação à autoridade de Controlo.

1.2.1. Em caso de violação de dados pessoais, a SOCIEDADE notifica desse facto a autoridade de controlo

competente.

1.2.2. A notificação deverá ser realizada até setenta e duas (72) horas após a SOCIEDADE ter tido

conhecimento da mesma.

1.2.3. Caso seja impossível realizar a violação dos dados pessoais no prazo de setenta e duas (72) horas,

deverá ser acompanhada dos motivos do atraso.

1.3. Subcontratantes.

1.3.1. Quando a violação de dados pessoais, ou uma potencial violação de dados pessoais afetar o

subcontratante, este tem a obrigatoriedade de notificar a SOCIEDADE no espaço de doze (12) horas

após ter tido conhecimento da mesma, independentemente de afetar ou não os dados pessoais

pelos quais a SOCIEDADE é responsável pelo tratamento. Esta obrigação deve estar refletida no

contrato com o subcontratante.

1.4. Informação a prestar.

1.4.1. A notificação a prestar pela SOCIEDADE deve conter no mínimo a seguinte informação:

(a) Descrição da natureza da violação dos dados pessoais incluindo, se possível, as categorias e o

número aproximado de titulares de dados afetados, bem como as categorias e o número

aproximado de registos de dados pessoais em causa;

(b) Identificação do nome e os contactos do encarregado da proteção de dados (se existir) ou de outro

ponto de contacto onde possam ser obtidas mais informações;

(c) Descrição das consequências prováveis da violação de dados pessoais;

de 51

(d) Descrição das medidas adotadas ou propostas pelo responsável pelo tratamento para reparar a

violação de dados pessoais, inclusive, se for caso disso, medidas para atenuar os seus eventuais

efeitos negativos;

1.4.2. Caso, e na medida em que não seja possível fornecer todas as informações ao mesmo tempo, estas

deverão ser fornecidas por fases, sem demora injustificada.

1.5. Documentação.

1.5.1. A SOCIEDADE irá documentar quaisquer violações de dados pessoais, compreendendo os factos

relacionados com as mesmas, os respetivos efeitos e a medida de reparação adotada.

1.5.2. A documentação poderá ser entregue à autoridade de controlo, devendo esta entrega ser efetuada

em conformidade com as regras da persente Politica.

1.6. Notificação aos titulares dos dados.

1.6.1. Caso da violação dos dados pessoais haja a possibilidade de implicar um elevado risco para os

direitos e liberdades dos titulares dos dados, a SOCIEDADE procurará comunicar a violação de

dados pessoais aos titulares dos dados afetados no prazo de setenta e duas (72) horas, sem

prejuízo das exceções estabelecidas na legislação, as quais serão analisadas caso a caso.

1.7. Outras notificações.

1.7.1. A SOCIEDADE irá igualmente proceder com as notificações necessárias junto às autoridades

judiciais e policiais, bem como, junto ao Centro Nacional de Cibersegurança.

2. COOPERAÇÃO COM AUTORIDADES DE CONTROLO.

2.1 Quando solicitada a cooperação da SOCIEDADE pela autoridade de controlo, o pedido deve ser

encaminhado para o apoio jurídico, e, existindo, para o Encarregado para a proteção de dados, os

quais instruirão a SOCIEDADE da melhor forma de cooperar e de responder ao pedido da

autoridade de controlo, sem prejuízo das obrigações legais a que aqueles se encontram vinculados.

3. CÓDIGOS DE CONDUTA.

de 51

3.1 Caso venham a ser aprovados códigos de conduta setoriais na área de atividade da SOCIEDADE,

esta poderá aderir aos mesmos em conformidade com os melhores interesses das suas

necessidades de gestão e das suas obrigações para com os titulares de dados.

3.2 A adesão a esses mesmos códigos de conduta será sempre precedida de um processo de avaliação

interno e parecer.

4. CERTIFICAÇÕES.

4.1 A SOCIEDADE procurará manter válidas as certificações que tenha obtido.

4.2 Caso venham a ser aprovadas certificações setoriais na área de atividade da SOCIEDADE, esta

poderá aderir aos mesmos em conformidade com os melhores interesses das suas necessidades de

gestão e das suas obrigações para com os titulares de dados.

4.3 A adesão a essas mesmas certificações será sempre precedida de um processo de avaliação interno

e parecer.

V. DISPOSIÇÕES FINAIS

1. Vinculação.

1.1 A presente Politica vincula todas as Pessoas Sujeitas.

1.2 Em caso de desconformidade entre a Política e outras políticas, a presente política prevalece sobre

as restantes.

1.3 Em caso de desconformidade entre a Politica e a legislação, a legislação prevalece sobre a Politica.

2. Revisão e acompanhamento da Política.

2.1 A presente Politica será objeto de revisão, nos seguintes termos

(a) Revisão ordinária: a cada ano, após a sua entrada em vigor; ou,

(b) Revisão extraordinária, quando, em virtude de circunstancialismos específicos, nomeadamente,

quando necessidades decorrentes da atividade da SOCIEDADE, factos, ou alterações legislativas,

assim o obriguem.

de 51

2.2 A revisão, ordinária ou extraordinária, será comunicada às internamente Pessoas Sujeitas, as quais

deverão declarar ter tido acesso e conhecimento da mesma no prazo de oito (8) dias úteis, após a

sua comunicação.

2.3 As datas de cada revisão estarão presentes no fim de cada versão.

3 Pedidos de informação.

3.1 Qualquer pedido de informação oriundo de uma Pessoa Sujeita quanto ao conteúdo da presente

Politica ou quanto ao tratamento dos seus dados pessoais, deverá ser endereçada por escrito para

o seu Responsável de Departamento.

3.2 O Responsável de Departamento deverá encaminhar para o Departamento de Recursos Humanos.

4 Entrada em vigor.

4.1 A presente Politica entre em vigor quinze (15) dias após a mesma ter sido comunicada

internamente através dos canais apropriados e as Pessoas Sujeitas terem tido conhecimento da

mesma.

polÍtica interna de proteÇÃo de dados · página 6 de 51 (f) “pessoa sujeita”, pessoa...

Documents